Audit RGPD
Afin de répondre aux exigences du RGPD, il est nécessaire que, dans un premier temps, nous comprenions (vous en tant qu’entreprise et nous, en tant que consultants) quelles données personnelles sont collectées dans l’entreprise (ces données personnelles concernent toutes les personnes avec lesquels l’entreprise entre en contact: employés, clients, visiteurs, autres catégories de personnes). Une cartographie complète de ces données est absolument nécessaire, étant très importante pour établir pour chaque catégorie le risque de rencontrer une faille de sécurité.
La deuxième question à laquelle il faut répondre après l’audit est de déterminer si l’organisation a mis en place des politiques et des procédures appropriées pour réglementer le traitement des données personnelles. De plus, en menant un audit, le responsable d’une entreprise s’assurera que le suivi du traitement des données personnelles est effectué correctement, en identifiant également les risques pour éviter les fuites ou pertes de données.
La troisième question à laquelle il faut répondre après l’audit concerne les personnes employées dans l’entreprise – dans quelle mesure elles connaissent les obligations de l’entreprise réglementées par le RGPD ainsi que les droits des personnes, sont informées des procédures et sont prêtes à intervenir en cas de découverte les failles de sécurité.
Ainsi, l’audit GDPR évalue les processus, systèmes, documents (registres) et activités de l’entreprise pour:
1. inventorier les catégories de données traitées et les opérations de traitement et enregistrer les activités de traitement.
2. Assurez-vous qu’il existe et si les politiques et procédures correctes et appropriées sont utilisées.
3. vérifier que la méthode de demande de consentement pour le traitement des données personnelles est complète.
4. découvrir les fuites d’informations ou les cyber-violations potentielles dans l’application des procédures.
5. évaluer et transformer les contrôles internes.
6. autoriser et valider si les principes, politiques et procédures sont contrôlés et respectés.
7. recommander des changements dans les contrôles, les politiques, les procédures et les plateformes informatiques.
8. recommander la formation nécessaire à organiser pour les employés qui entrent en contact direct avec les données personnelles.
Il est nécessaire que cet audit soit réalisé suite à des discussions avec tous les services impliqués dans le traitement des données:
– les employés des ressources humaines sont responsables des données des employés embauchés et des données des anciens employés
– le personnel comptable détient les données de facturation des clients
– les employés marketing gèrent la base de données des newsletters envoyées en ligne et la base de données avec les clients
– etc.